Regras da política de firewall

Esta página descreve os componentes das regras de firewall que você cria em uma das seguintes políticas de firewall que se aplicam a uma rede VPC comum:

• Políticas de firewall hierárquicas
• Políticas globais de firewall de rede
• Políticas regionais de firewall de rede

Para mais detalhes sobre regras de firewall e redes VPC RDMA, consulte Cloud NGFW para redes VPC RoCE.

Cada regra de política de firewall se aplica a conexões de entrada (entrada) ou de saída (saída), não a ambas.

Regras de entrada

A direção de entrada se refere às conexões de entrada enviadas de origens específicas para os destinos Google Cloud . As regras de entrada se aplicam a pacotes de entrada que chegam aos seguintes tipos de destinos:

• Interfaces de rede de instâncias de máquina virtual (VM)
• Proxies gerenciados do Envoy que alimentam balanceadores de carga de aplicativo internos e balanceadores de carga de rede de proxy internos.

Uma regra de entrada com a ação deny protege os destinos bloqueando as conexões recebidas. Uma regra de prioridade mais alta pode permitir conexões de entrada. Uma rede padrão criada automaticamente inclui algumas regras de firewall da VPC pré-preenchidas, que permitem a entrada de determinados tipos de tráfego.

Regras de saída

A direção de saída se refere ao tráfego de saída enviado de uma interface de rede de VM de destino para um destino.

Uma regra de saída com a ação allow permite que uma instância envie tráfego para os destinos especificados na regra. A saída pode ser negada por regras de firewall deny de prioridade mais alta.O Google Cloud também bloqueia ou limita determinados tipos de tráfego.

Componentes da regra de política de firewall

Ao criar uma regra de política de firewall, você especifica os componentes que definem o que a regra faz. Além da direção, é possível especificar origem, destino e características da Camada 4, como protocolo e porta de destino (se o protocolo usar portas).

Prioridade

A prioridade de uma regra em uma política de firewall é um número inteiro de 0 a 2.147.483.647, inclusive. Os números inteiros mais baixos indicam prioridades mais altas. A prioridade de uma regra em uma política de firewall é semelhante à prioridade de uma regra de firewall da VPC, com as seguintes diferenças:

• Cada regra de uma política de firewall precisa ter uma prioridade exclusiva.
• A prioridade de uma regra em uma política de firewall serve como identificador exclusivo da regra. As regras das políticas de firewall não usam nomes para identificação.
• A prioridade de uma regra em uma política de firewall define a ordem de avaliação na própria política de firewall. As regras de firewall da VPC e as regras em políticas hierárquicas de firewall, políticas de firewall de rede global e de rede regional são avaliadas conforme descrito em Aplicar políticas e regras de firewall a uma rede.

Ação se houver correspondência

Uma regra em uma política de firewall pode ter uma das ações a seguir:

Parâmetro de ação	Descrição
allow	Permite pacotes para uma nova conexão. Interrompe a avaliação de regras na política de firewall que contém a regra correspondente. Não avalia outras regras de firewall. Independente da direção da regra, se o protocolo de pacote e o tipo de política de firewall forem compatíveis com o rastreamento de conexão, uma regra de permissão vai criar uma entrada de tabela de rastreamento de conexão de firewall que permite pacotes de entrada e saída.
deny	Não permite pacotes para uma nova conexão. Interrompe a avaliação de regras na política de firewall que contém a regra correspondente. Não avalia outras regras de firewall. O Cloud NGFW sempre verifica uma entrada de tabela de rastreamento de conexão de firewall antes de avaliar as regras de firewall. Consequentemente, se uma regra de permissão criar uma entrada na tabela de rastreamento de conexão, essa entrada terá precedência.
apply_security_profile_group	Intercepta pacotes de uma nova conexão, enviando-os para um endpoint de firewall ou um grupo de endpoints de interceptação. Interrompe a avaliação de regras na política de firewall que contém a regra correspondente. Não avalia nenhuma outra regra de firewall. Independente da direção da regra, se o protocolo de pacote e o tipo de política de firewall forem compatíveis com o rastreamento de conexão, uma regra com a ação apply_security_profile_group criará uma entrada de tabela de rastreamento de conexão de firewall para que os pacotes de entrada e saída sejam interceptados pelo endpoint de firewall ou pelo grupo de endpoints de interceptação. Não é possível criar regras com a ação apply_security_profile_group em políticas de firewall de rede regionais. As políticas de firewall do sistema regionais não são compatíveis com regras que usam essa ação.
goto_next	Para de avaliar outras regras na política de firewall e avalia as regras na próxima etapa da ordem de avaliação de regras e políticas de firewall. A próxima etapa da ordem de avaliação de regras e políticas de firewall pode ser a avaliação de regras em outra política de firewall ou as regras de firewall implícitas.

Aplicação

Para escolher se uma regra de política de firewall é aplicada, defina o estado dela como ativado ou desativado. Você define o estado de aplicação ao criar uma regra ou atualizar uma regra.

Se você não definir um estado de aplicação obrigatória ao criar uma nova regra de firewall, ela será ativada automaticamente.

Protocolos e portas

Assim como nas regras de firewall da VPC, é necessário especificar uma ou mais restrições de protocolo e porta ao criar uma regra. Ao especificar o TCP ou o UDP em uma regra, é possível especificar o protocolo, o protocolo e uma porta de destino ou o protocolo e um intervalo de portas de destino. Não é possível especificar apenas uma porta ou intervalo de portas. Além disso, só é possível especificar portas de destino. Regras com base em portas de origem não são compatíveis.

Você pode usar os seguintes nomes de protocolo em regras de firewall: tcp, udp, icmp (para IPv4 ICMP), esp, ah, sctp e ipip. Para todos os outros protocolos, use os números do protocolo IANA.

Muitos protocolos usam o mesmo nome e número no IPv4 e IPv6, mas alguns protocolos, como o ICMP, não. Para especificar o ICMP IPv4, use icmp ou o número de protocolo 1. Para especificar o ICMP IPv6, use o número de protocolo 58.

As regras de firewall não aceitam a especificação de tipos e códigos de ICMP, apenas o protocolo.

O protocolo IPv6 Hop-by-Hop não é compatível com regras de firewall.

Se você não especificar parâmetros de protocolo e porta, a regra será aplicada a todos os protocolos e portas.

Geração de registros

A geração de registros de regras da política de firewall funciona da mesma forma que a geração de registros de regras de firewall para VPC, com as seguintes exceções:

• O campo de referência inclui o ID da política de firewall e um número que indica o nível do recurso a que a política está anexada. Por exemplo, 0 significa que a política é aplicada a uma organização, e 1 significa que a política é aplicada a uma pasta de nível superior na organização.

• Os registros das regras da política hierárquica de firewall incluem um campo target_resource que identifica as redes VPC às quais a regra se aplica.

• A geração de registros pode ser ativada somente para as regras allow, deny e apply_security_profile_group. Não é possível ativá-la para regras goto_next.

Destino, origem, destino

Os parâmetros de destino, origem e destino funcionam juntos para determinar o escopo de uma regra de firewall.

• Parâmetros de destino: identificam os recursos a que a regra de firewall se aplica.

• Parâmetros de origem e destino: definem os critérios de tráfego. É possível especificar os dois para regras de entrada e saída. As opções válidas para parâmetros de origem e destino dependem dos parâmetros de destino e da direção da regra de firewall.

Destinos

O parâmetro tipo de destino e um ou mais parâmetros destino definem os destinos de uma regra de firewall. Esses destinos de uma regra de firewall são os recursos que ela protege.

• Se o tipo de destino for omitido ou definido como INSTANCES, a regra de firewall será aplicada às interfaces de rede das instâncias do Compute Engine, incluindo nós do Google Kubernetes Engine e instâncias do ambiente flexível do App Engine. As regras de entrada e saída são compatíveis.

  Para especificar a quais interfaces de rede de VM a regra de firewall se aplica, use parâmetros de destino:

  • Se você omitir todos os parâmetros de destino, a regra de firewall será aplicada aos destinos de instância mais amplos.

  • Para mais detalhes sobre o parâmetro e a combinação de parâmetros de destino, consulte Segmentações específicas.

• Se o tipo de destino for definido como INTERNAL_MANAGED_LB (prévia), a regra de firewall será aplicada aos proxies gerenciados do Envoy usados pelos balanceadores de carga de aplicativo internos e pelos balanceadores de carga de rede de proxy interno. Apenas regras de entrada são compatíveis.

  • Se você omitir o parâmetro regras de encaminhamento de destino, a regra de firewall será aplicada aos destinos mais amplos do balanceador de carga.

  • Para restringir a regra de firewall a um único balanceador de carga, use o parâmetro de regras de encaminhamento de destino. Para mais informações, consulte Segmentações específicas.

Destinos de instância mais amplos

Os destinos de instância mais amplos dependem do tipo de política de firewall:

• Destinos de instância mais amplos para uma regra em uma política hierárquica de firewall: todas as interfaces de rede de VM em uma sub-rede em qualquer região de qualquer rede VPC localizada em um projeto no nó do Resource Manager (pasta ou organização) associado à política hierárquica de firewall.

• Destinos de instância mais amplos para uma regra em uma política de firewall de rede global: todas as interfaces de rede de VM em uma sub-rede em qualquer região da rede VPC associada à política de firewall de rede global.

• Destinos de instância mais amplos para uma regra em uma política de firewall de rede regional: todas as interfaces de rede de VM em uma sub-rede na região e na rede VPC associadas à política de firewall de rede regional.

Destinos mais amplos do balanceador de carga

As políticas de firewall de rede regionais são as únicas que têm regras compatíveis com destinos de balanceador de carga. Os destinos mais amplos do balanceador de carga são as regras de encaminhamento para balanceadores de carga de aplicativo internos e balanceadores de carga de rede de proxy internos na região da política e na rede VPC associada.

Segmentações específicas

A tabela a seguir lista os parâmetros de destino, as políticas de firewall que aceitam regras com cada parâmetro e os tipos de destino de regra compatíveis. Se você não especificar um parâmetro de destino, a regra usará os destinos de instância mais amplos ou os destinos de balanceador de carga mais amplos, com base no tipo de destino da regra. A marca de seleção indica que o parâmetro é compatível, e o símbolo indica que o parâmetro não é compatível.

Parâmetro de destino ou combinação de parâmetros de destino	Suporte a políticas de firewall			Suporte para tipo de destino da regra
	Hierárquico	Rede global	Rede regional	INSTANCES	INTERNAL_MANAGED_LB
Recursos de rede VPC de destino Uma lista de uma ou mais redes VPC especificadas usando o parâmetro target-resources. Essa lista restringe os destinos de instância mais amplos às interfaces de rede da VM que estão em pelo menos uma das redes VPC especificadas.
Contas de serviço de destino Uma lista de uma ou mais contas de serviço especificadas usando o parâmetro target-service-accounts. Essa lista restringe os destinos de instância mais amplos às interfaces de rede de VM que pertencem a instâncias de VM associadas a pelo menos uma das contas de serviço especificadas.
Combinação de contas de serviço de destino e recursos de rede VPC de destino Uma regra que usa os parâmetros target-service-accounts e target-resources. Essa combinação restringe os destinos de instância mais amplos às interfaces de rede da VM que atendem aos dois critérios a seguir: As interfaces estão em pelo menos uma das redes VPC especificadas. As interfaces pertencem a instâncias de VM associadas a pelo menos uma das contas de serviço especificadas.
Segmentar valores de tag segura de uma chave de tag com dados de finalidade de rede Uma lista de um ou mais valores de tag de uma chave de tag cujo purpose-data especifica uma única rede VPC. Essa lista restringe os destinos de instância mais amplos às interfaces de rede da VM que atendem aos dois critérios a seguir: A interface de rede da VM está na rede VPC que corresponde ao purpose-data da chave de tag. A interface de rede da VM pertence a uma VM vinculada ao valor da tag. Para mais informações, consulte Tags seguras para firewalls.
Segmentar valores de tags seguras de uma chave de tag com dados de finalidade da organização Uma lista de um ou mais valores de tag de uma chave de tag cujo purpose-data é organization=auto. Essa lista restringe os destinos de instância mais amplos às interfaces de rede da VM que atendem aos dois critérios a seguir: A interface de rede da VM está em qualquer rede VPC da organização. A interface de rede da VM pertence a uma VM vinculada ao valor da tag. Para mais informações, consulte Tags seguras para firewalls.
Regras de encaminhamento de destino Prévia Uma única regra de encaminhamento para um balanceador de carga de aplicativo interno ou um balanceador de carga de rede de proxy interno especificado no formato de regras de encaminhamento de destino. Esse parâmetro restringe os destinos mais amplos do balanceador de carga a um balanceador de carga de aplicativo interno ou de rede de proxy interno específico.

Formato das regras de encaminhamento de destino

Quando o tipo de destino de uma regra de firewall é definido como INTERNAL_MANAGED_LB (prévia), o parâmetro de regras de encaminhamento de destino aceita valores nos seguintes formatos:

• Para balanceadores de carga de aplicativo internos regionais e balanceadores de carga de rede de proxy internos regionais:

  • https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME
  • projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME

• Para balanceadores de carga de aplicativo internos entre regiões e balanceadores de carga de rede de proxy interno entre regiões:

  • https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
  • projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME

Metas e endereços IP para regras de entrada

Quando um tipo de destino de regra de firewall é omitido ou definido como INSTANCES, a regra se aplica a pacotes roteados para interfaces de rede de VMs de destino.

• Se a regra de firewall de entrada incluir um intervalo de endereços IP de destino, o destino do pacote precisará caber em um dos intervalos de endereços IP de destino explicitamente definidos.

• Se a regra de firewall de entrada não incluir um intervalo de endereços IP de destino, o destino do pacote precisará corresponder a um dos seguintes endereços IP de cada VM de destino:

  • O endereço IPv4 interno principal atribuído à NIC da instância.

  • Qualquer intervalo de endereços IP de alias configurado na NIC da instância.

  • O endereço IPv4 externo associado à NIC da instância.

  • Se o IPv6 estiver configurado na sub-rede, qualquer um dos endereços IPv6 atribuídos à placa de rede (NIC).

  • Um endereço IP interno ou externo associado a uma regra de encaminhamento usada para balanceamento de carga de passagem, em que a instância é um back-end para um balanceador de carga de rede de passagem interna ou um balanceador de carga de rede de passagem externa.

  • Um endereço IP interno ou externo associado a uma regra de encaminhamento usada para encaminhamento de protocolos, em que a instância é referenciada por uma instância de destino.

  • Um endereço IP dentro do intervalo de destino de uma rota estática personalizada que usa a instância como uma VM de próximo salto (next-hop-instance ou next-hop-address).

  • Um endereço IP no intervalo de destino de uma rota estática personalizada que usa um balanceador de carga de rede de passagem interna (next-hop-ilb) como próximo salto se a VM for um back-end para esse balanceador de carga.

Quando o tipo de destino de uma regra de firewall é definido como INTERNAL_MANAGED_LB (prévia), a regra filtra pacotes roteados para os proxies Envoy gerenciados associados a balanceadores de carga de aplicativo internos e balanceadores de carga de rede de proxy interno. Ao usar intervalos de IP de destino em uma regra de entrada, verifique se o intervalo inclui o endereço IP da regra de encaminhamento do balanceador de carga relevante.

Metas e endereços IP para regras de saída

Quando um tipo de destino de regra de firewall é omitido ou definido como INSTANCES, a regra se aplica a pacotes emitidos por interfaces de rede de VMs de destino.

• Se a VM de destino tiver o encaminhamento de IP desativado (padrão), ela só poderá emitir pacotes com as seguintes origens:

  • O endereço IPv4 interno principal da NIC de uma instância.

  • Qualquer intervalo de endereços IP de alias configurado na NIC de uma instância.

  • Se o IPv6 estiver configurado na sub-rede, qualquer um dos endereços IPv6 atribuídos à placa de rede (NIC).

  • Um endereço IP interno ou externo associado a uma regra de encaminhamento, para balanceamento de carga de passagem ou encaminhamento de protocolo. Isso será válido se a instância for um back-end para um balanceador de carga de rede de passagem interna, um balanceador de carga de rede de passagem externa ou for referenciada por uma instância de destino.

  Se a regra de firewall de saída incluir intervalos de endereços IP de origem, as VMs de destino ainda estarão limitadas aos endereços IP de origem mencionados anteriormente, mas um parâmetro de origem poderá ser usado para refinar as origens. O uso de um parâmetro de origem sem ativar o encaminhamento de IP nunca expande o conjunto de possíveis endereços de origem do pacote.

  Se a regra de firewall de saída não incluir um intervalo de endereços IP de origem, todos os endereços IP de origem mencionados anteriormente serão permitidos.

• Se a VM de destino tiver o encaminhamento de IP ativado, ela poderá emitir pacotes com endereços de origem arbitrários. Você pode usar o parâmetro de origem para definir com mais precisão o conjunto de origens de pacotes permitidas.

Origens

Os valores dos parâmetros de origem dependem da direção da regra de firewall.

Origens das regras de entrada

Esta tabela lista os parâmetros de origem para regras de entrada, as políticas de firewall que oferecem suporte a cada parâmetro e os tipos de destino de regra compatíveis com cada parâmetro. É necessário especificar pelo menos um parâmetro de origem. A marca de seleção indica que o parâmetro é compatível, e o símbolo indica que o parâmetro não é compatível.

Parâmetro de origem da regra de entrada	Suporte a políticas de firewall			Suporte para tipo de destino da regra
	Hierárquico	Rede global	Rede regional	INSTANCES	INTERNAL_MANAGED_LB
Intervalos de endereços IP de origem Uma lista simples com endereços IPv4 ou IPv6 no formato CIDR. A lista é armazenada na própria regra da política de firewall.
Grupos de endereços de origem Coleções reutilizáveis de endereços IPv4 ou IPv6 no formato CIDR. A regra de firewall faz referência à coleção. Para mais informações, consulte Grupos de endereços para políticas de firewall.
Nomes de domínio de origem Uma lista com um ou mais nomes de domínio de origem. Para mais informações, incluindo como os nomes de domínio são convertidos em endereços IP, consulte Objetos FQDN.
Extrair valores de tag seguros de uma chave de tag com dados de finalidade de rede Uma lista de um ou mais valores de tag de uma chave de tag cujos dados de finalidade especificam uma única rede VPC. Para mais informações, consulte Tags seguras para firewalls e Como as tags seguras de origem implicam origens de pacotes.
Extrair valores de tags seguras de uma chave de tag com dados de finalidade da organização Uma lista de um ou mais valores de tag de uma chave de tag cujo objetivo de dados é organization=auto. Para mais informações, consulte Tags seguras para firewalls e Como as tags seguras de origem implicam origens de pacotes.
Geolocalizações de origem Uma lista de uma ou mais localizações geográficas de origem especificadas como códigos regionais ou dos países com duas letras. Para mais informações, consulte Objetos de geolocalização.
Listas de inteligência contra ameaças do Google de origem Uma lista com um ou mais nomes de listas do Google Threat Intelligence predefinidos. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall.
Tipo de rede de origem Uma restrição que define um limite de segurança. Os valores válidos dependem do tipo de destino da regra. Para mais informações, consulte Tipos de rede.

Combinações de origem de regras de entrada

Em uma única regra de entrada, é possível usar dois ou mais parâmetros de origem para produzir uma combinação de origem. O Cloud NGFW impõe as seguintes restrições às combinações de origem de cada regra de entrada:

• Os intervalos de endereços IP de origem precisam conter CIDRs IPv4 ou IPv6, não uma combinação de ambos.
• Um grupo de endereços de origem que contenha CIDRs IPv4 não pode ser usado com um grupo de endereços de origem que contenha CIDRs IPv6.
• Um intervalo de endereços IP de origem que contém CIDRs IPv4 não pode ser usado com um grupo de endereços de origem que contém CIDRs IPv6.
• Um intervalo de endereços IP de origem que contém CIDRs IPv6 não pode ser usado com um grupo de endereços de origem que contém CIDRs IPv4.
• O tipo de rede da Internet não pode ser usado com as tags de origem seguras.
• Os tipos não Internet, redes VPC e entre VPCs não podem ser usados com as listas de inteligência de ameaças do Google de origem ou geolocalizações de origem .

O Cloud NGFW aplica a seguinte lógica para corresponder os pacotes a uma regra de entrada que usa uma combinação de origem:

• Se a combinação de origem não incluir um tipo de rede de origem, os pacotes corresponderão à regra de entrada se corresponderem a pelo menos um parâmetro de origem na combinação de origem.

• Se a combinação de origem incluir um tipo de rede de origem, os pacotes corresponderão à regra de entrada se corresponderem ao tipo de rede de origem e a pelo menos um dos outros parâmetros de origem na combinação de origem.

Como as tags de origem seguras implicam origens de pacotes

Uma regra de firewall de entrada pode usar valores de tags seguras de origem quando o tipo de destino é omitido ou definido como INSTANCES. Os valores de tag segura identificam interfaces de rede, não características de pacotes, como endereços IP.

Os pacotes enviados de uma interface de rede de uma instância de VM correspondem a uma regra de entrada que usa um valor de tag segura de origem de acordo com as seguintes regras:

• Se a regra de entrada estiver em uma política de rede regional, a instância de VM precisará estar localizada em uma zona da mesma região que a política de firewall de rede regional. Caso contrário, a instância de VM pode estar localizada em qualquer zona.

• A instância de VM precisa estar associada ao mesmo valor de tag segura usado como tag segura de origem em uma regra de firewall de entrada.

• O valor da tag segura associada à instância de VM e usada pela regra de firewall de entrada precisa vir de uma chave de tag cujo atributo purpose-data identifique pelo menos uma rede VPC que contenha uma interface de rede da instância de VM:

  • Se os dados de finalidade da chave de tag especificarem uma única rede VPC, as regras de firewall de entrada que usam o valor da tag segura de origem serão aplicadas às interfaces de rede da instância de VM que estão nessa rede VPC.

  • Se os dados de finalidade da chave de tag especificarem a organização, as regras de firewall de entrada que usam o valor da tag segura de origem serão aplicadas às interfaces de rede da instância de VM que estão em qualquer rede VPC da organização.

• A interface de rede da VM identificada precisa atender a um dos seguintes critérios:

  • A interface de rede da VM está na mesma rede VPC que a rede VPC a que a política de firewall se aplica.
  • A interface de rede da VM está em uma rede VPC conectada, usando peering de rede VPC, à rede VPC a que a política de firewall se aplica.

Para mais informações sobre tags seguras para firewalls, consulte Especificações.

Origens para regras de saída

É possível usar as origens a seguir para regras de saída em políticas hierárquicas de firewall e políticas de firewall de rede:

• Padrão: implícito pelo destino: se você omitir o parâmetro de origem de uma regra de saída, as origens de pacotes serão definidas implicitamente, conforme descrito em Destinos e endereços IP para regras de saída.

• Intervalos de endereços IPv4 de origem: uma lista de endereços IPv4 no formato CIDR.

• Intervalos de endereços IPv6 de origem: uma lista de endereços IPv6 no formato CIDR.

Siga estas diretrizes para adicionar intervalos de endereços IP de origem às regras de saída:

• Se uma interface de VM tiver endereços IPv4 internos e externos atribuídos, apenas o endereço IPv4 interno será usado durante a avaliação da regra.

• Se você tiver um intervalo de endereços IP de origem e parâmetros de destino na regra de saída, eles serão resolvidos na mesma versão do IP que a versão do IP de origem.

  Por exemplo, em uma regra de saída, você tem um intervalo de endereços IPv4 no parâmetro de origem e um objeto FQDN no parâmetro de destino. Se o FQDN for resolvido em endereços IPv4 e IPv6, apenas o endereço IPv4 resolvido será usado durante a aplicação da regra.

Destinos

Os valores dos parâmetros de destino dependem da direção da regra de firewall.

Destinos para regras de entrada

É possível usar os seguintes destinos para regras de firewall de entrada em políticas hierárquicas de firewall e de rede:

• Padrão: implícito pelo destino: se você omitir o parâmetro de destino de uma regra de entrada, os destinos de pacote serão definidos implicitamente, conforme descrito em Destinos e endereços IP para regras de entrada.

• Intervalos de endereços IPv4 de destino: uma lista de endereços IPv4 no formato CIDR.

• Intervalos de endereços IPv6 de destino: uma lista de endereços IPv6 no formato CIDR.

Siga estas diretrizes para adicionar intervalos de endereços IP de destino às regras de entrada:

• Se uma interface de VM tiver endereços IPv4 internos e externos atribuídos, apenas o endereço IPv4 interno será usado durante a avaliação da regra.

• Se você tiver os parâmetros de origem e de destino definidos em uma regra de entrada, eles serão resolvidos na mesma versão do IP que a versão do IP de destino. Para saber mais sobre como definir uma origem para regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewall e Origens para regras de entrada em políticas de firewall de rede.

  Por exemplo, em uma regra de entrada, você tem um intervalo de endereços IPv6 no parâmetro de destino e um código do país de geolocalização no parâmetro de origem. Durante a aplicação da regra, apenas o endereço IPv6 mapeado é usado para o código do país de origem especificado.

Destinos para regras de saída

Esta tabela lista os parâmetros de destino para regras de saída, as políticas de firewall que oferecem suporte a cada parâmetro e os tipos de destino de regra compatíveis com cada parâmetro. É necessário especificar pelo menos um parâmetro de destino. A marca de seleção indica que o parâmetro é compatível, e o símbolo indica que não é.

Parâmetro de destino da regra de saída	Suporte a políticas de firewall			Suporte para tipo de destino da regra
	Hierárquico	Rede global	Rede regional	INSTANCES	INTERNAL_MANAGED_LB
Intervalos de endereços IP de destino Uma lista simples com endereços IPv4 ou IPv6 no formato CIDR. A lista é armazenada na própria regra da política de firewall.
Grupos de endereços de destino Coleções reutilizáveis de endereços IPv4 ou IPv6 no formato CIDR. A regra da política de firewall faz referência à coleção. Para mais informações, consulte Grupos de endereços para políticas de firewall.
Nomes de domínio de destino Uma lista com um ou mais nomes de domínio de destino. Para mais informações, incluindo como os nomes de domínio são convertidos em endereços IP, consulte Objetos FQDN.
Geolocalizações de destino Uma lista de uma ou mais localizações geográficas de origem especificadas como códigos regionais ou dos países com duas letras. Para mais informações, consulte Objetos de geolocalização.
Listas de destino do Google Threat Intelligence Uma lista com um ou mais nomes de listas do Google Threat Intelligence predefinidos. Para mais informações, consulte Google Threat Intelligence para regras de política de firewall.
Tipo de rede de destino Uma restrição que define um limite de segurança. Para mais informações, consulte Tipos de rede.

Combinações de destino de regras de saída

Em uma única regra de saída, é possível usar dois ou mais parâmetros de destino para produzir uma combinação de destino. O Cloud NGFW aplica as seguintes restrições às combinações de destino de cada regra de saída:

• Os intervalos de endereços IP de destino precisam conter CIDRs IPv4 ou IPv6, não uma combinação de ambos.
• Um grupo de endereços de destino que contém CIDRs IPv4 não pode ser usado com um grupo de endereços de destino que contém CIDRs IPv6.
• Um intervalo de endereços IP de destino que contém CIDRs IPv4 não pode ser usado com um grupo de endereços de destino que contém CIDRs IPv6.
• Um intervalo de endereços IP de destino que contém CIDRs IPv6 não pode ser usado com um grupo de endereços de destino que contém CIDRs IPv4.
• Não é possível usar listas de destino do Google Threat Intelligence ou geolocalizações de destino com o tipo de rede de destino não relacionada à Internet.

O Cloud NGFW aplica a seguinte lógica para corresponder os pacotes a uma regra de saída que usa uma combinação de destino:

• Se a combinação de destino não incluir um tipo de rede de destino, os pacotes vão corresponder à regra de saída se corresponderem a pelo menos um parâmetro de destino na combinação.

• Se a combinação de destino incluir um tipo de rede de destino, os pacotes corresponderão à regra de saída se corresponderem ao tipo de rede de destino e a pelo menos um dos outros parâmetros de destino na combinação de destino.

Tipos de rede

Os tipos de rede ajudam você a atingir suas metas de segurança usando menos regras de política de firewall de maneira mais eficiente. O Cloud NGFW oferece suporte a quatro tipos de rede que podem ser usados para criar uma combinação de origem ou destino em uma regra de uma política de firewall hierárquica, global ou regional.

Tipos de rede

A tabela a seguir mostra como os quatro tipos de rede podem ser usados em regras de firewall.

Tipos de rede	Tipo de destino compatível		Direção, combinação de origem ou combinação de destino compatíveis
	INSTANCES	INTERNAL_MANAGED_LB	Combinação de origem de uma regra de entrada	Combinação de destino de uma regra de saída
Internet (INTERNET)
Sem Internet (NON_INTERNET)
Redes VPC (VPC_NETWORKS)
Intra-VPC (INTRA_VPC)

Os tipos de rede com e sem Internet são mutuamente exclusivos. As redes VPC e os tipos de rede intra VPC são subconjuntos do tipo de rede não Internet.

Tipo de rede de Internet

O tipo de rede internet (INTERNET) pode ser usado como parte de uma combinação de origem de uma regra de entrada ou como parte de uma combinação de destino de uma regra de saída:

• Para uma regra de entrada, especifique a origem do tipo de Internet e pelo menos outro parâmetro de origem, exceto uma origem de tag segura. Os pacotes correspondem à regra de entrada se corresponderem a pelo menos um dos outros parâmetros de origem e critérios de tipo de rede da Internet para pacotes de entrada.

• Para uma regra de saída, especifique o destino do tipo de Internet e pelo menos um outro parâmetro de destino. Os pacotes correspondem à regra de saída se corresponderem a pelo menos um dos outros parâmetros de destino e critérios de tipo de rede da Internet para pacotes de saída.

Tipo de rede sem Internet

O tipo de rede não relacionada à Internet (NON-INTERNET) pode ser usado como parte de uma combinação de origem de uma regra de entrada ou como parte de uma combinação de destino de uma regra de saída:

• Para uma regra de entrada, especifique a origem do tipo não Internet e pelo menos um outro parâmetro de origem, exceto uma lista de geolocalizações seguras ou do Google Threat Intelligence de origem. Os pacotes correspondem à regra de entrada se corresponderem a pelo menos um dos outros parâmetros de origem e critérios de tipo de rede não Internet para pacotes de entrada.

• Para uma regra de saída, especifique o destino do tipo não Internet e pelo menos um outro parâmetro de destino. Os pacotes correspondem à regra de saída se corresponderem a pelo menos um dos outros parâmetros de destino e critérios de tipo de rede não relacionada à Internet para pacotes de saída.

Tipo de rede VPC

O tipo de rede redes VPC (VPC_NETWORKS) só pode ser usado como parte de uma combinação de origem de uma regra de entrada. Para usar o tipo de redes VPC como parte de uma combinação de origem de uma regra de entrada, faça o seguinte:

1. É necessário especificar uma lista de redes VPC de origem:

   • A lista de redes de origem precisa ter pelo menos uma rede VPC. É possível adicionar no máximo 250 redes VPC à lista de redes de origem.
   • Uma rede VPC precisa existir antes de ser adicionada à lista de redes de origem.
   • É possível adicionar a rede usando o identificador de URL parcial ou completo.
   • As redes VPC adicionadas à lista de redes de origem não precisam estar conectadas umas às outras. Cada rede VPC pode estar localizada em qualquer projeto.
   • Se uma rede VPC for excluída depois de ser adicionada à lista de redes de origem, a referência à rede excluída vai permanecer na lista. O Cloud NGFW ignora as redes VPC excluídas ao aplicar uma regra de entrada. Se todas as redes VPC na lista de redes de origem forem excluídas, as regras de entrada que dependem da lista não serão eficazes porque não corresponderão a nenhum pacote.

2. É necessário especificar pelo menos outro parâmetro de origem, exceto uma origem de lista do Google Threat Intelligence a ou uma origem de geolocalização .

Os pacotes correspondem à regra de entrada se corresponderem a pelo menos um dos outros parâmetros de origem e critérios para o tipo de redes VPC.

Tipo de rede VPC interna

O tipo de rede intra-VPC (INTRA_VPC) só pode ser usado como parte de uma combinação de origem de uma regra de entrada. Para usar o tipo de redes intra-VPC como parte de uma combinação de origem de uma regra de entrada, especifique pelo menos outro parâmetro de origem, exceto uma origem de lista do Google Threat Intelligence ou uma origem de geolocalização .

Os pacotes correspondem à regra de entrada se corresponderem a pelo menos um dos outros parâmetros de origem e critérios para o tipo de redes intra-VPC.

Objetos de geolocalização

Use objetos de geolocalização em regras de política de firewall para filtrar o tráfego IPv4 e IPv6 externo com base em regiões ou localizações geográficas específicas.

É possível aplicar regras com objetos de geolocalização ao tráfego de entrada e de saída. Com base na direção do tráfego, os endereços IP associados aos códigos dos países fazem a correspondência com a origem ou o destino do tráfego.

• É possível configurar objetos de geolocalização para políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional.

• Para adicionar geolocalizações às regras da política de firewall, use os códigos regionais ou dos países com duas letras, conforme definido nos códigos dos países ISO 3166 Alfa-2.

  Por exemplo, se você quiser permitir o tráfego de entrada apenas dos EUA na rede, crie uma regra da política de firewall de entrada com o código do país de origem definido como US e a ação definida como allow. Da mesma forma, se você quiser permitir o tráfego de saída somente para os EUA, configure uma regra da política de firewall de saída com o código do país de destino definido como US e a ação definida como allow.

• O Cloud NGFW permite configurar regras de firewall para os seguintes territórios sujeitos a sanções abrangentes dos EUA:

  Territórios	Código atribuído
  Crimeia	XC
  As chamadas República Popular de Donetsk e República Popular de Lugansk	XD

• Se houver códigos de país duplicados incluídos em uma única regra de firewall, apenas uma entrada será mantida. A entrada duplicada será removida. Por exemplo, na lista de código de país ca,us,us, apenas ca,us será mantido.

• O Google mantém um banco de dados com endereços IP e mapeamentos de código de país. Os firewalls doGoogle Cloud usam esse banco de dados para mapear os endereços IP do tráfego de origem e destino com o código do país e aplicar a regra da política de firewall correspondente com objetos de geolocalização.

• Às vezes, as atribuições de endereços IP e os códigos dos países mudam devido às seguintes condições:

  • Movimentação de endereços IP entre localizações geográficas
  • Atualizações no padrão de códigos dos países ISO 3166 Alfa-2

  Pode levar algum tempo para que essas mudanças sejam aplicadas ao banco de dados do Google. Por isso, talvez você veja algumas interrupções de tráfego e alterações no comportamento de determinado tráfego, sendo bloqueado ou permitido.

Usar objetos de geolocalização com outros filtros de regra da política de firewall

É possível usar objetos de geolocalização com outros filtros de origem ou destino. Dependendo da direção da regra, a regra da política de firewall é aplicada ao tráfego de entrada ou saída que corresponde à união de todos os filtros especificados.

Para informações sobre como os objetos de geolocalização funcionam com outros filtros de origem nas regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewall e Origens para regras de entrada em políticas de firewall de rede.

Para informações sobre como os objetos de geolocalização funcionam com outros filtros de destino nas regras de saída, consulte Destinos para regras de saída.

Google Threat Intelligence para regras de política de firewall

As regras de política de firewall permitem proteger a rede, permitindo ou bloqueando o tráfego com base nos dados do Google Threat Intelligence. Os dados do Google Threat Intelligence incluem listas de endereços IP com base nas seguintes categorias:

• Nós de saída do Tor: o Tor é um software de código aberto que possibilita a comunicação anônima. Para excluir usuários que ocultam a própria identidade, bloqueie os endereços IP dos nós de saída do Tor (endpoints em que o tráfego sai da rede do Tor).
• Endereços IP maliciosos conhecidos: endereços IP conhecidos como origem de ataques de aplicativos da Web. Para melhorar a postura de segurança do seu aplicativo, bloqueie esses endereços IP.
• Mecanismos de pesquisa: endereços IP que podem ser permitidos para ativar a indexação do site.
• Intervalos de endereços IP de nuvem pública: essa categoria pode ser bloqueada para evitar que ferramentas automatizadas maliciosas procurem web apps ou pode ser permitida se o serviço usar outras nuvens públicas. Essa categoria é dividida nas seguintes subcategorias:
  • Corresponde aos intervalos de endereços IP usados pelo Amazon Web Services
  • Corresponde aos intervalos de endereços IP usados pelo Microsoft Azure
  • Intervalos de endereços IP usados pelo Google Cloud
  • Corresponde aos intervalos de endereços IP usados pelo Serviços do Google

As listas de dados da Inteligência contra ameaças do Google podem incluir endereços IPv4, IPv6 ou ambos. Para configurar o Google Threat Intelligence nas regras da política de firewall, use os nomes predefinidos da lista do Google Threat Intelligence com base na categoria que você quer permitir ou bloquear. Essas listas são atualizadas continuamente, protegendo os serviços de novas ameaças sem etapas de configuração adicionais. Os nomes de listas válidos são definidos conforme a seguir.

Nome da lista	Descrição
IPs maliciosos conhecidos (iplist-known-malicious-ips)	Corresponde a endereços IP conhecidos por atacar aplicativos da web
Rastreadores de mecanismos de pesquisa (iplist-search-engines-crawlers)	Corresponde aos endereços IP dos rastreadores dos mecanismos de pesquisa
Nós de saída do TOR (iplist-tor-exit-nodes)	Corresponde aos endereços IP dos nós de saída do TOR
IPs de nuvem pública (iplist-public-clouds)	Correspondem a endereços IP que pertencem às nuvens públicas
Nuvens públicas – AWS (iplist-public-clouds-aws)	Corresponde aos intervalos de endereços IP usados pela Amazon Web Services
Nuvens públicas - Azure (iplist-public-clouds-azure)	Corresponde aos intervalos de endereços IP usados pelo Microsoft Azure
Nuvens públicas - GCP (iplist-public-clouds-gcp)	Corresponde aos intervalos de endereços IP usados pelo Google Cloud
Nuvens públicas - Serviços do Google (iplist-public-clouds-google-services)	Corresponde aos intervalos de endereços IP usados pelo Serviços do Google
Provedores de VPN (iplist-vpn-providers)	Corresponde a endereços IP que pertencem a provedores de VPN de baixa reputação.
Proxies anônimos (iplist-anon-proxies)	Corresponde a endereços IP que pertencem a proxies anônimos abertos.
Sites de mineração de criptomoedas (iplist-crypto-miners)	Corresponde a endereços IP que pertencem a sites de mineração de criptomoedas

Usar o Google Threat Intelligence com outros filtros de regra de política de firewall

Para definir uma regra de política de firewall com o Google Threat Intelligence, siga estas diretrizes:

• Para regras de saída, especifique o destino usando uma ou mais listas do Google Threat Intelligence.

• Para regras de entrada, especifique a origem usando uma ou mais listas do Google Threat Intelligence.

• É possível configurar as listas da Inteligência contra ameaças do Google para políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional.

• É possível usar essas listas com outros componentes de filtro da regra de origem ou destino.

  Para informações sobre como as listas da Inteligência contra ameaças do Google funcionam com outros filtros de origem nas regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewall e Origens para regras de entrada em políticas de firewall de rede.

  Para informações sobre como as listas da Inteligência contra ameaças do Google funcionam com outros filtros de destino nas regras de saída, consulte Destinos para regras de saída.

• A geração de registros de firewall é feita no nível da regra. Para facilitar a depuração e a análise do efeito das regras de firewall, não inclua várias listas da Inteligência contra ameaças do Google em uma única regra.

• É possível adicionar várias listas da Inteligência contra ameaças do Google a uma regra da política de firewall. Cada nome de lista incluído na regra é contado como um atributo, independentemente do número de endereços IP ou intervalos de endereços IP incluídos nessa lista. Por exemplo, se você incluiu os nomes das listas iplist-tor-exit-nodes, iplist-known-malicious-ips e iplist-search-engines-crawlers na regra da política de firewall, a contagem de atributos de regra por política de firewall será aumentada em três. Para mais informações sobre a contagem de atributos de regras, consulte Cotas e limites.

Como criar exceções para listas do Google Threat Intelligence

Se você tiver regras que se aplicam a listas da Inteligência contra ameaças do Google, use as seguintes técnicas para criar regras de exceção aplicáveis a determinados endereços IP em uma lista da Inteligência contra ameaças do Google:

• Regra de firewall de permissão seletiva: suponha que você tenha uma regra de firewall de entrada ou saída que negue pacotes de ou para uma lista da Inteligência contra ameaças do Google. Para permitir pacotes de ou para um endereço IP selecionado nessa lista da Inteligência contra ameaças do Google, crie uma regra de firewall de permissão de entrada ou saída de prioridade mais alta separada que especifique o endereço IP de exceção como origem ou destino.

• Regra de firewall de negação seletiva: suponha que você tenha uma regra de firewall de entrada ou saída que permita pacotes de ou para uma lista da Inteligência contra ameaças do Google. Para negar pacotes de ou para um endereço IP selecionado nessa lista da Inteligência contra ameaças do Google, crie uma regra de firewall de negação de entrada ou saída de prioridade mais alta que especifique o endereço IP de exceção como origem ou destino.

Grupos de endereços para políticas de firewall

Os grupos de endereços são uma coleção lógica de intervalos de endereços IPv4 ou IPv6 no formato CIDR. É possível usar grupos de endereços para definir origens ou destinos consistentes referenciados por muitas regras de firewall. Os grupos de endereços podem ser atualizados sem modificar as regras de firewall que os utilizam. Para mais informações sobre grupos de endereços, consulte Grupos de endereços para políticas de firewall.

É possível definir grupos de endereços de origem e destino para as regras de firewall de entrada e saída respectivamente.

Para informações sobre como os grupos de endereços de origem funcionam com outros filtros de origem nas regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewall e Origens para regras de entrada nas políticas de firewall de rede.

Para informações sobre como os grupos de endereços de destino funcionam com outros filtros de destino nas regras de saída, consulte Destinos para regras de saída.

Objetos FQDN

Os objetos de nome de domínio totalmente qualificado (FQDN) contêm nomes de domínio especificados no formato de nome de domínio. É possível usar objetos FQDN como origens para regras de entrada ou como destinos para regras de saída em uma política hierárquica de firewall, uma política de firewall de rede global ou uma política de firewall de rede regional.

É possível combinar FQDNs com outros parâmetros. Para detalhes sobre combinações de parâmetros de origem em regras de entrada, consulte Origens para regras de entrada. Para detalhes sobre combinações de parâmetros de destino em regras de saída, consulte Destinos para regras de saída.

Os objetos FQDN são compatíveis com políticas de resposta do Cloud DNS, zonas privadas gerenciadas no escopo da rede VPC, nomes DNS internos do Compute Engine e zonas DNS públicas. Essa compatibilidade se aplica desde que a rede VPC não tenha uma política de servidor de saída que especifique um servidor de nomes alternativo. Para mais informações, consulte Ordem de resolução de rede VPC.

Mapear objetos FQDN para endereços IP

O Cloud NGFW resolve periodicamente objetos FQDN para endereços IP. O Cloud NGFW segue a ordem de resolução de nomes da VPC do Cloud DNS na rede VPC que contém os destinos da regra de firewall.

O Cloud NGFW usa o seguinte comportamento para resolução de endereços IP:

• Suporte à pesquisa de CNAME. O Cloud NGFW usa a busca de CNAME do Cloud DNS se a resposta a uma consulta de objeto FQDN for um registro CNAME.

• Endereços IP do programa. O Cloud NGFW usa os endereços IP resolvidos ao programar as regras de firewall que usam objetos FQDN. Cada objeto FQDN pode ser mapeado para um máximo de 32 endereços IPv4 e 32 endereços IPv6.

  Se a resposta DNS para uma consulta de objeto FQDN for resolvida em mais de 32 endereços IPv4 ou mais de 32 endereços IPv6, o Cloud NGFW vai limitar os endereços IP programados nas regras de firewall aos primeiros 32 endereços IPv4 e aos primeiros 32 endereços IPv6.

• Ignorar objetos FQDN. Se o Cloud NGFW não conseguir resolver um objeto FQDN para um endereço IP, ele vai ignorar o objeto FQDN. Nas seguintes situações, o Cloud NGFW ignora um objeto FQDN:

  • Quando NXDOMAIN respostas são recebidas. As respostas NXDOMAIN são respostas explícitas de um servidor de nomes indicando que não há um registro DNS para a consulta de objeto FQDN.

  • Quando não há um endereço IP em uma resposta. Nessa situação, uma consulta de objeto FQDN não resulta em uma resposta com um endereço IP que o Cloud NGFW pode usar para programar uma regra de firewall.

  • Quando o servidor do Cloud DNS está inacessível. O Cloud NGFW ignora objetos FQDN se um servidor DNS que fornece a resposta estiver inacessível.

  Quando um objeto FQDN é ignorado, o Cloud NGFW programa as partes restantes de uma regra de firewall, se possível.

Considerações sobre objetos FQDN

Considere o seguinte para objetos FQDN:

1. Como os objetos FQDN são mapeados e programados como endereços IP, o Cloud NGFW usa o seguinte comportamento quando dois ou mais objetos FQDN são mapeados para o mesmo endereço IP. Suponha que você tenha as seguintes duas regras de firewall que se aplicam ao mesmo destino:

   • Regra 1: prioridade 100, entrada permitida do FQDN de origem example1.com
   • Regra 2: prioridade 200, permissão de entrada do FQDN de origem example2.com

   Se example1.com e example2.com forem resolvidos para o mesmo endereço IP, os pacotes de entrada de example1.com e example2.com vão corresponder à primeira regra de firewall porque ela tem uma prioridade maior.

2. As considerações para usar objetos FQDN incluem o seguinte:

   • Uma consulta de DNS pode ter respostas únicas com base no local do cliente solicitante.

   • As respostas de DNS podem variar muito quando um sistema de balanceamento de carga baseado em DNS está envolvido.

   • Uma resposta de DNS pode conter mais de 32 endereços IPv4.

   • Uma resposta de DNS pode conter mais de 32 endereços IPv6.

   Nas situações anteriores, como o Cloud NGFW realiza consultas de DNS em cada região que contém a interface de rede da VM a que a regra de firewall se aplica, os endereços IP programados nas regras de firewall não contêm todos os endereços IP possíveis associados ao FQDN.

   A maioria dos nomes de domínio do Google, como googleapis.com, está sujeita a uma ou mais dessas situações. Use endereços IP ou grupos de endereços.

3. Evite usar objetos FQDN com registros A do DNS que tenham um time to live (TTL) de menos de 90 segundos.

Formatar nomes de domínio

Os objetos FQDN precisam seguir o formato padrão de FQDN, que é definido nas RFC 1035, RFC 1123 e RFC 4343. O Cloud NGFW rejeita objetos FQDN que incluem um nome de domínio que não atende a todas as regras de formatação a seguir:

• Cada objeto FQDN precisa ser um nome de domínio com pelo menos dois rótulos:

  • Cada rótulo precisa corresponder a uma expressão regular que inclua apenas estes caracteres: [a-z]([-a-z0-9][a-z0-9])?..
  • Cada rótulo precisa ter de 1 a 63 caracteres.
  • Os rótulos precisam ser concatenados com um ponto (.).

  Por isso, os objetos FQDN não são compatíveis com caracteres curinga (*) ou nomes de domínio de nível superior (ou raiz), como *.example.com. e .org, porque incluem apenas um rótulo.

• Os objetos FQDN são compatíveis com Nomes de domínio internacionalizados (IDNs). Você pode fornecer um IDN no formato Unicode ou Punycode. Considere o seguinte:

  • Se você especificar um IDN no formato Unicode, o Cloud NGFW o converterá para o formato Punycode antes do processamento.

  • Use o conversor de IDN para criar a representação em Punycode de um IDN.

  • O limite de caracteres de 1 a 63 por rótulo é aplicável aos IDNs após a conversão para o formato Punycode.

• O tamanho codificado de um nome de domínio totalmente qualificado (FQDN) não pode exceder 255 bytes (octetos).

O Cloud NGFW não oferece suporte a nomes de domínio equivalentes na mesma regra de firewall. Por exemplo, se os dois nomes de domínio (ou representações em Punycode de IDNs) forem diferentes por um ponto final (.), o Cloud NGFW os considerará equivalentes.

A seguir

• Políticas de firewall hierárquicas
• Políticas globais de firewall de rede
• Políticas de firewall da rede regional